BLOG | NGINX

Sichere Freigabe von DevOps mit moderner Anwendungssicherheit von NGINX

NGINX-Teil-von-F5-horiz-schwarz-Typ-RGB
F5 NGINX-Miniaturansicht
F5 NGINX
Veröffentlicht am 12. August 2021

Mittlerweile ist das Konzept „DevSecOps“ praktisch jedem vertraut, der in der modernen Softwareentwicklung arbeitet. Es verspricht, die Anwendungssicherheit grundlegend zu stärken und Reibungen zwischen DevOps- und Sicherheitsteams abzubauen.

Bei einem DevSecOps-Modell wird die Sicherheit nach links verlagert und direkt in den DevOps-Entwicklungs- und Bereitstellungsprozess integriert. Insbesondere ist Sicherheit in jede Phase der CI/CD-Pipeline (Continuous Integration/Continuous Deployment) eingebettet, um Sicherheitslücken früher zu erkennen. Im Gegensatz zu herkömmlichen Sicherheitsmodellen stellt DevSecOps die Sicherheit in den Mittelpunkt der Entwicklung und hilft dabei, Probleme näher an ihrem Ursprungsort zu identifizieren, kostspielige (und zeitaufwändige) Überarbeitungen zu reduzieren und zu verhindern, dass Schwachstellen in die Produktion gelangen.

Doch trotz der Bemühungen, DevSecOps voranzutreiben, scheinen die Sicherheitsteams immer noch hinter der Entwicklung von DevOps zurückzubleiben. Laut dem DevSecOps Insights 2020- Bericht von snyk haben 48 % der Entwickler immer noch das Gefühl, dass die Sicherheit eine große Einschränkung für ihre Fähigkeit darstellt, Software schnell bereitzustellen.

Warum ist die Anwendungssicherheit immer noch zu langsam?

Die meisten Unternehmen sind sich zwar darüber im Klaren, wie ihre Sicherheitslage aussehen muss, doch Absicht und Realität sind zwei sehr unterschiedliche Dinge. Laut dem „The State of DevSecOps Report“ für 2020 von Contrast Security müssen mehr als 99 % der Organisationen zugeben, dass ihre durchschnittliche Anwendung in der Produktion mindestens 4 Schwachstellen aufweist, während fast 80 % mehr als 20 Schwachstellen in Anwendungen in der Entwicklung melden. Auch wenn 70 % der im Rahmen der Global DevSecOps Survey 2021 von GitLab befragten Sicherheitsteams angeben, dass sie die Sicherheit nach links verlagert haben und enger denn je mit Entwicklern zusammenarbeiten, ist klar, dass weiterhin erhebliche Sicherheitslücken bestehen.

Durch Gespräche mit NGINX-Kunden haben wir drei große Herausforderungen entdeckt, die die Einführung von DevOps-Praktiken durch Sicherheitsteams weiterhin verlangsamen oder blockieren:

  1. Ein sich ständig verändernder, verteilter Perimeter
    Anders als noch vor 20 Jahren werden Sicherheitsteams selten mit der Verteidigung nur eines einzigen, leicht zu sichernden Perimeters beauftragt. Stattdessen müssen sie Apps sichern, die von DevOps-Teams entwickelt und bereitgestellt werden, die freie Hand bei der Auswahl der Umgebungen, Plattformen und Tools haben, die ihnen die schnellste Iteration ermöglichen. DevOps-Praktiken sind großartig für Innovationen, aber keine gute Nachricht für Sicherheitsexperten, die eine Reihe von Diensten, Endpunkten und Geräten schützen müssen, die über APIs miteinander kommunizieren. Tatsächlich gab nur die Hälfte der Teilnehmer der GitLab-Umfrage an, dass sie über Prozesse zur Überwachung und zum Schutz von Apps verfügen, die mit modernen Entwicklungsstrategien, einschließlich Microservices und Containern, erstellt wurden.

  2. Unfähigkeit, Sicherheitsrichtlinien zu automatisieren und in CI/CD-Pipelines einzubetten
    Die Transformation verläuft in den verschiedenen Teams nicht mit der gleichen Geschwindigkeit und die meisten der den Sicherheitsteams zur Verfügung stehenden Legacy-Tools wurden nicht für eine Shift-Left-Umgebung entwickelt. Infolgedessen sind Sicherheitsteams gezwungen, Tools anzupassen und in die Pipeline zu integrieren, die für die Automatisierung und moderne Infrastrukturen schlecht geeignet sind. Schlimmer noch: Diesen Tools fehlen Self-Service-Funktionen, sodass Entwickler und DevOps-Ingenieure warten müssen, bis die Sicherheitsabteilung eine manuelle Prüfung der Richtlinien und Prozesse abgeschlossen hat, bevor sie weitermachen können.

  3. Schwieriger Erhalt zentraler Sichtbarkeit und Einblicke in die Sicherheit
    Die meisten Unternehmens-Apps sind nicht nur verteilt, sondern verfügen auch über verteilte Eigentumsbereiche, die jeweils unterschiedliche Tools verwenden. Dies macht es unglaublich schwierig, einen konsolidierten Überblick über die Sicherheitslage innerhalb der Organisation zu erhalten. Anstatt sich mit der eigentlichen Ursache der Probleme zu befassen, verschwenden Sicherheitsteams häufig Zeit mit dem Versuch, Daten aus verschiedenen Quellen zu konsolidieren und zu korrelieren.

Und natürlich überwinden die meisten Unternehmen diese Hindernisse nicht nur für eine Handvoll Apps – sie jonglieren mit Hunderten von Produkten und Diensten, die auf mehrere Teams verteilt sind, die ihre eigenen Technologie-Stacks, Toolchains und Prozesse betreiben. Für alle diese Prozesse sind Audits und Kontrollen erforderlich, um sicherzustellen, dass Schwachstellen keine Tür und Tor für Angriffe öffnen.

Unternehmensteams setzen auf Platform Ops

Was also können Sie tun, um Ihren Anwendungssicherheitsteams zu mehr Agilität zu verhelfen und es den Entwicklern gleichzeitig zu ermöglichen, weiterhin schnell, aber sicher zu arbeiten?

Die harte Wahrheit ist: Wenn Sie keine Möglichkeit finden, die oben diskutierten Herausforderungen zu bewältigen, können Sie Ihre Praktiken und Prozesse nicht weiterentwickeln. Schnellere Iterationen mögen wie der Gewinn erscheinen, den jeder braucht, aber die einzige Möglichkeit, DevOps weiterhin voll auszuschöpfen, besteht darin, die Sicherheit über den gesamten Softwareentwicklungszyklus hinweg so reibungslos und anpassungsfähig wie möglich zu gestalten.

Wir beobachten immer mehr, dass Unternehmen einen Ansatz verfolgen, den wir – dem Beispiel von Gartner folgend – „Platform Ops“ nennen. Das Kernkonzept besteht darin, DevOps-Funktionen über eine Plattform bereitzustellen, die auf die Anforderungen interner Teams im Unternehmen zugeschnitten ist. Die Verwendung interner Plattformen verringert nicht nur die Wahrscheinlichkeit, Zeit mit redundanten Aufgaben zu verschwenden, sondern trägt auch dazu bei, dass mehrere Produktteams kontinuierlich und effektiv zusammenarbeiten, ohne ausgebremst zu werden.

Im Rahmen eines Platform-Ops-Modells stellen Sicherheitsteams den Entwicklungsteams selbst nutzbare Richtlinien zur Verfügung. Darüber hinaus sind Sicherheitstools vollständig in den Anwendungsbereitstellungsprozess integriert. Auf diese Weise können Entwickler schneller bereitstellen und gleichzeitig die Best Practices, Governance- und Zugriffsanforderungen erfahrener Sicherheitsexperten einhalten.

Der große Gewinn für Anwendungssicherheitsteams besteht darin, dass Platform Ops eine Umgebung schafft, in der Entwickler Sicherheit nicht mehr als Hindernis erleben, das sie ausbremst, sondern als integrierten Bestandteil der Prozesse und Tools, die sie bereits verwenden. Dies motiviert die App-Bereitstellungsteams, Muster zu übernehmen, die eine bessere Sicherheit für das gesamte Unternehmen gewährleisten.

Wie NGINX hilft

Bei NGINX sind wir uns bewusst, wie wichtig es ist, Tools wie eine Web Application Firewall (WAF) bereitzustellen, die sich problemlos nach links verschieben lässt, um überall in den Entwicklungsprozessen Sicherheit zu bieten und sich vollständig in CI/CD-Pipelines integrieren zu lassen. Außerdem ist es wichtig, über leichte Lösungen zu verfügen, die weder die CPU überlasten noch die Leistung beeinträchtigen.

Wir haben auch festgestellt, dass Entwicklungs- und DevOps-Teams viel zufriedener sind, wenn die Sicherheit ein Geländer und kein Tor ist . Wenn die Sicherheit starke, konsistente Kontrollen und Richtlinien auf einer gemeinsam genutzten Self-Service-Plattform bietet, wird es für Entwicklungs- und Sicherheitsteams einfacher, sich mit minimaler Interaktion und Unterbrechungen auf Richtlinien zu einigen.

Diagramm des Kubernetes-Ökosystems mit NGINX Ingress Controller und NGINX App Protect WAF
Diagramm des Kubernetes-Ökosystems mit NGINX Ingress Controller und NGINX App Protect WAF

Und so ermöglicht die NGINX-Anwendungsplattform genau das:

  • NGINX App Protect WAF ist eine leichte, moderne WAF, die Sie überall dort einsetzen können, wo Sie Apps erstellen und verwalten. App Protect WAF basiert auf der marktführenden WAF-Technologie von F5 und schützt vor den OWASP Top 10 und anderen fortgeschrittenen Bedrohungen unabhängig von Architektur oder Bereitstellungsumgebung – ob Cloud, Hybrid, Microservices-basiert, containerisiert oder vor Ort. App Protect WAF wird als dynamisches Modul für NGINX Plus bereitgestellt und ermöglicht Ihnen die Automatisierung von Sicherheitskonfigurationen und -richtlinien, sodass diese direkt in Ihrer CI/CD-Pipeline bereitgestellt werden können.

  • NGINX App Protect DoS bietet automatisierten, adaptiven Schutz zum Erkennen und Verhindern von Denial-of-Service-Angriffen (DoS) . App Protect DoS wird von den Sicherheitsexperten von F5 unterstützt und nutzt adaptives maschinelles Lernen und integrierte Anomalieerkennung, um Ihre Anwendungen und Mikrodienste vor Angriffen auf Anwendungsebene zu schützen. Egal, ob Sie einen gezielten Angriff stoppen oder einfach verhindern müssen, dass eine unbeabsichtigte Fehlkonfiguration die Leistung einer App beeinträchtigt, App Protect DoS bietet Zero-Touch-Schutz, der sich nahtlos in moderne Anwendungsarchitekturen, Entwicklungstools und Frameworks integrieren lässt.

  • Mit dem Add-on NGINX Controller App Security<.htmla> für das Controller Application Delivery Module können Sie die Entwicklerproduktivität steigern, ohne den Betrieb und die Sicherheitskonformität zu beeinträchtigen. Controller App Security bietet vertrauenswürdigen App-Schutz und zentrale Bedrohungstransparenz auf App-Ebene, die für alle HTTP-basierten Apps und APIs in Multi-Cloud-Umgebungen standardisiert werden kann. Darüber hinaus können Sicherheitsteams vorab genehmigte Richtlinien bereitstellen, die Entwickler und DevOps-Teams im Self-Service-Verfahren nutzen können, um ihren Apps problemlos App-Schutz hinzuzufügen.

  • Erweiterte Sicherheit für das NGINX Controller API Management Module ermöglicht verteilte API-Sicherheit für moderne Anwendungen:

    • NGINX App Protect WAF kann jetzt mit API-Gateways zusammengelegt werden, um API-Verkehrsmanagement und Sicherheit für verteilte Umgebungen bereitzustellen. Ermöglicht durch die entkoppelte Architektur von NGINX, bei der die Datenebene (bestehend aus API-Gateways und jetzt NGINX App Protect WAF) keine Laufzeitabhängigkeit von der Steuerebene aufweist, bietet NGINX erstklassige Hochleistung und Sicherheit für Ihre APIs, die vor Ort oder in öffentlichen, privaten oder Hybrid-Clouds gehostet werden.
    • Das NGINX Controller App Security- Add-on für das API-Management-Modul integriert nahtlos starke Sicherheit mit überall bereitgestellten NGINX-API-Gateways – Bare-Metal, VMs, Containern und Cloud-Umgebungen. Das Add-on schützt sofort vor den Top 10-Schwachstellen der OWASP API Security und anderen wie SQL-Injection und Remote Command Execution (RCE). Es validiert zulässige Dateitypen und Antwortstatuscodes und sucht nach fehlerhaftem JSON, XML und Cookies. Das Add-on erkennt außerdem Umgehungstechniken, die zum Maskieren von Angriffen verwendet werden, und stellt die Einhaltung der HTTP-RFCs sicher.

Sind Sie bereit, Sicherheit einfach und problemlos zu gestalten?

Starten Sie kostenlose 30-Tage-Testversionen von NGINX Plus mit NGINX App Protect und NGINX Controller , sehen Sie sich unsere Angebote in der Cloud an ( AWS , Google Cloud Platform , Microsoft Azure ) und melden Sie sich für den von einem Lehrer geleiteten Kurs „ Einführung in NGINX App Protect“ an.

Weitere Blogbeiträge zu F5 NGINX lesen ›

„Dieser Blogbeitrag kann auf Produkte verweisen, die nicht mehr verfügbar und/oder nicht mehr unterstützt werden. Die aktuellsten Informationen zu verfügbaren F5 NGINX-Produkten und -Lösungen finden Sie in unserer NGINX-Produktfamilie . NGINX ist jetzt Teil von F5. Alle vorherigen NGINX.com-Links werden auf ähnliche NGINX-Inhalte auf F5.com umgeleitet."